• [^] # Re: ftp.gnu.org piraté

    Posté par . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 4.

    au hasard tu logues toutes les exec sur une (plusieures) machines distantes qui ne font rien d'autre que de recevoir les logs (donc tres peu de chance qu'elles soient vulnerables), et qui verifie de temps en temps les colisions avec les bash_hisrory. Comme tout est logue sur une machine distante, tu as beau effacer les logs de la machine ils sont quand meme dispos sur les serveurs distants.

    Tu peux donc retrouver les traces de l'intrusion (jusqu'au moment ou syslog est explose/reconfigure).

    Exemple :

    Aug 14 16:24:50 loutre kernel: grsec: exec of [16:05:8464220] (tail /var/log/kernel/info ) by (sudo:19559) UID(0) EUID(0), parent (bash:26956) UID(504) EUID(504)

    Bien sur c'est un peu basique vu comme ca. Mais en developpant un peu l'idee tu arrives a un systeme qui n'est pas involiable mais dont masquer l'intrusion est assez difficile (attention je ne dis pas que detecter l'intrusion est facile, elle est noyee autour d'une masse d'information, par contre si on recherche les logs ont a toutes les chances de la retrouver).

    Et puis il y a forcement des traces quelque part il suffit d'avoir le temps (et la capacite) de les trouver :-)